[LACNIC/Seguridad] Incidente en Windows XP

Carlos M. Martinez carlosm en antel.net.uy
Jue Nov 9 11:03:10 BRST 2006


Gracias por tu respuesta Anatoly,

explico un poco mas lo que quiero hacer. 

- la informacion que se podia recuperar, ya se ha recuperado, booteando
de CDs de rescate, etc.
- ahora lo que quisiera es determinar exactamente cual es el problema
que tiene la particion NTFS que corresponde al "C:" que hace que la
misma no pueda ser booteada o montada desde linux
- conociendo el daño que tiene, me gustaria poder determinar que
software se uso para producir ese daño 

Mi pregunta sobre las "logic bombs" era para conocer cuales
concretamente han encontrado en incidentes reales. Mi hipotesis es que
el ataque no fue llevado a cabo por alguien muy "sofisticado" que
desarrollo su propio software, sino que utilizò algo que bajo de
Internet. 

slds y gracias

Carlos

On Wed, 2006-11-08 at 15:00 -0500, Anatoly A. Pedemonte Ku wrote:

> Hola Estimado Carlos:
> 
> Bueno existe malware actualmente que tiene caracter de un logic bomb,
> inclusive hay algunos que son manejados desde su desarrollador, pero
> estos poseen un caracter hibrido por que al final de todo se convierten
> en trojanos...
> 
> Empiezan como un simple programa spy, adware, que al final descarga otro
> archivo y comience su trabajo habitual del cual fue programado y envíe
> información a su autor o propietario, por que propietario por que existe
> actualmente desarrolladores que venden malware sofisticados a otros...
> 
> Sobre la existencia, de un programa que diagnostique y que guarde un log
> de todos los sucesos del sistema, pues tendrias que haber hecho antes
> todo una infraestructura dentro de tu equipo, para que puedas verlos
> sucesos inclusive despues de haber muerto tu disco o particion, cosa que
> por allí he visto, pero trabaja con un hardware en especial, de
> tecnología koreana.
> 
> Pero en el caso de que quieres una posible solucion, quizas no muy
> eficaz desde mi punto de vista, es utilizar ERD Commander, el cual posee
> un windows, que carga  desde un CD, pero que lee tus párticiones, el
> registro, y el log Viewer del sistema, y es allí donde puedas encontrar
> ciertos cosas con respecto a la particion o sucesos en el sistema. Ahora
> el windows, no guarda totalmente toda lo que sucede, supongo que sera
> por su kernel, en cambio en los unix, pueden ver muchas cosas, y con
> herramientas propias del sistema. Y para esto necesitas tener
> conocimientos de Analisis Forense...
> 
> Tambien puedes montar la unidad en un linux o unix y ver el filesystem
> mediante herramientas o toolkit de analisis forenses que existen en la
> red de redes... ERD Commander, posee licencia, pero en laspruebas que he
> hecho como esta  diseñado para windows, he podido ver que posee buenas
> utilidades para hacer una parte de analisis forense en windows...
> 
> 
> Ahora si tu particion no es montable o no has podido reestablecerla,
> posee solución de volverla a su estado normal....
> 
> Bueno, esperomas detalle de tu problema, y si alguien desea comentar o
> agregar sobre mi opinión, bienvenido sea... Y si hay cosas nuevas para
> explicar mejor aun, asi aprendemos todos...
> 
> Disculpen si existe  horrores ortograficos..
> 
> Saludos Cordiales...
> 
> -----------------------------------------------------------
>  Anatoly Alexei Pedemonte Ku 
>  RAGE SYSTEMS S.A.C.
>  http://www.ragesys.net
>  Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA
>  LIMA - PERU
>  Teléfono: 511.7962262 
>  Móvil: 511.97167435 
> -----------------------------------------------------------
> Este correo y su contenido son confidenciales y exclusivos para su destinatario. Si usted recibe este mensaje por error o no es el destinatario del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así mismo, todas las ideas y reflexiones expresadas en esta comunicación corresponden al originador del correo y NO representa la posición oficial de su empleador.
> --------------------------------------------------------------------------------------------------------------------------------------
> This email is intended only for the addressee(s) and contains information which may be confidential, legally privileged. If you are not intended recipient please do not save, forward, disclose or copy the content of this email. Please delete it completely from your system and notify originator.Finally, all ideas expressed in this communication are personal comments and NOT represent official position of his employer.
> --------------------------------------------------------------------------------------------------------------------------------------
> 
> -----BEGIN PGP PUBLIC KEY BLOCK-----
> Version: GnuPG v1.4.3 (MingW32)
> 
> mQGiBESAj0sRBACbs6YrxgfA3uYWdrMoJ0Sfq9ZAh+uxWF9mjuNV8CMKmovVQfor
> o3KosZ9PzEkYa43WNgTYwPjcI1NkF2W0La0s44GBzJaxzfAojhfV9CgQoViJv+UJ
> TFe7TG32wdG+M+E/FqA3vUfMvjoVCu/SY74H+VES7v8h7VJsy6dUDT3jKwCgspkU
> oGlOVd9M4h3OiW2BINa/BcMD/ikzpBjrZ0wz0yfIBYgPUAO0yhQpfd0cPxL7lAi9
> NGuGQtUdunkomPjzLt/989wCM8kmiEkhsR+mu3vceOLqeAR2mfoEX0vC1UYMlOcB
> jitRdx19Wjm8fYVI98vuyIs/i6IGclZnXEoMLoOBvdaIIfj7ZpB59CFOx2WH3ixC
> s0O6A/0aO7jE8ugDVVHtSdUayw+sAQes2zELdNAy0u8kOpSzWjaxTo2uJ+5py5/M
> uBgifYQMljAnYkTCcBYXD39Din43r330peUpHX3OekRPLYYEOg0Px4sOjJVAf828
> rysL1q4uKqUljE6aHVnFM+FkItqUKysAVgemW1wGxyW2UhwuBLQtQW5hdG9seSBB
> LiBQZWRlbW9udGUgS3UgPGFuYXRvbHlAcmFnZXN5cy5uZXQ+iGYEExECACYFAkSA
> j0sCGwMFCQHhM4AGCwkIBwMCBBUCCAMEFgIDAQIeAQIXgAAKCRBJuebWcCX7tbwi
> AJsHXrCU+6dCHf8xUeDdrzJN/NTrlQCgiMjRs7KDAQnu9a0yklQYGlG2W2+5Ag0E
> RICPgxAIAIFh8TQuAbWfmj9pez98L6mlNDyQSXyrIUXTFXK3hLMOA0u4oyz6EuCH
> zZOIUxveeumspSv98F6vP/W7AQBfX5t6pakvmyRHtBcsdx1dFgOlIWRGHP86tgdl
> Ci4s+C9vGrbynXbNDPoV/cCqYZeeKNBbUHbUH3j+hKKTz0mpiHPaFWTsGzmxQpoI
> cSHnbGPuIwew9TDC9qnESmGscG8IfZXsB7UjkDMyGUVQNwYd+hqPOof/qMFiR2cG
> x2IUs3dGroffjkmncgvoPfBPq0B+7cIqhnEznKCxvjvorZnpT/9uW1Apch8QwXcg
> SK/QkHBYwweYWzHYaqzkLzustwJ2dNMAAwYH/RReKPnCUJa45gw3Bv76z9UK0ABr
> OLRfVq1nnRnqs1LM+z7xKMpEfzQDIyNoqUlE42pNNYd/N8rz+3PP1pRypcpbP+B/
> MNOBEaFhvS7X5El8WfXRIaM19hLpEHVeTPG71cOJaiu/PC6a7KkOarKCIJYa7uU0
> JhqVPaAeButljRuQJpR9rjpdPPd2+4sVaWrabtnyhm/oiYQthyMdB8xq2slWreTL
> hWFtsenfgVvOlBpt8ZwGpQkzASLBwdGhisMYXQStw1D9dbDFQbb8pqO/9eos9rkL
> sflAvD1F3VJl2TmaxjvRRgnAgRzdt3vTWvrYPf2WyesT0C78rriVeWzmuD6ITwQY
> EQIADwUCRICPgwIbDAUJAeEzgAAKCRBJuebWcCX7tRdWAKCIlj2g5aMf4CKqwEjx
> uAEzo28PuQCfV/U+ptv+7+D0xkMzZ5HG1yxMrhQ=
> =GD85
> -----END PGP PUBLIC KEY BLOCK-----
> 
> 
> 
> carlosm escribió:
> > El mensaje anterior salio con un subject erroneo, disculpen! 
> >
> > -----Mensaje original-----
> > De: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net] En
> > nombre de carlosm
> > Enviado el: Miércoles, 08 de Noviembre de 2006 05:24 p.m.
> > Para: seguridad en lacnic.net
> > Asunto: Re: [LACNIC/Seguridad] Spamassassin
> >
> > Buenas tardes amigos!
> >
> > En el curso del análisis de un incidente de seguridad, me encuentro con que
> > el sistema potencialmente comprometido (Windows XP) tiene una particion NTFS
> > que no es montable. La sospecha parece ser que este daño, cualquiera sea,
> > fue intencional.
> >
> > Las preguntas que tengo para la lista son:
> >
> > - ¿Conocen alguna forma de malware, del estilo de un "logic bomb" que se
> > pueda utilizar para dañar una particion NTFS?
> >
> > - ¿Conocen alguna herramienta que permita obtener un diagnóstico de cual
> > exactamente es el problema con la particion NTFS?
> >
> >
> > slds
> >
> > Carlos
> >
> >
> > _______________________________________________
> > Seguridad mailing list
> > Seguridad en lacnic.net
> > http://lacnic.net/mailman/listinfo/seguridad
> >
> >
> >
> > _______________________________________________
> > Seguridad mailing list
> > Seguridad en lacnic.net
> > http://lacnic.net/mailman/listinfo/seguridad
> >
> >   
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> http://lacnic.net/mailman/listinfo/seguridad
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20061109/2f5e699e/attachment.html>


Más información sobre la lista de distribución Seguridad